[전문가기고] AI 시대 보안 컨설팅, 언제까지 '머릿수'만 셀 것인가

조영철 한국정보보호산업협회(KISIA) 정보보호컨설팅 협의체 의장(파이오링크 대표)오늘날 글로벌 전장인 사이버 보안 세계에서 가장 강력한 무기는 단연 인공지능(AI)과 자동화 기술이다. 클로드 미토스 모델같이 최신 AI모델들이 자동으로 취약점을 대량 찾고 있으며, 과거 수일 수십일 걸리던 보안 진단도 단 몇 시간 만에 고도로 정밀하게 수행되는 AI 에이전틱 기술 혁신이 일어나고 있다. 그러나 대한민국 정보보호 산업의 근간인 '보안 컨설팅' 현장으로 눈을 돌리면, 우리는 여전히 '고급 몇 명, 중급 몇 명'이라는 케케묵은 인력 투입형 노동 집약적 패러다임에 갇혀 있다.소위 'Man-Month(M/M)'로 불리는 투입 인력 중심 대가 산정 방식은 정보보호 산업 기술 발전을 가로막는 가장 큰 걸림돌이다. 현행 구조에서는 아무리 뛰어난 AI 기술이나 혁신적인 자동화 플랫폼을 개발해 컨설팅 효율을 높여도, 발주처가 요구하는 '투입 인력 수'를 채우지 못하면 사업 대가를 온전히 받을 수 없다. 결국 기업 입장에서는 기술 투자에 나설 유인이 사라지고, 오히려 사람을 많이 투여해야 돈을 버는 기형적인 구조 속에서 기술 퇴보를 겪게 된다.구조적 괴리가 낳은 저가 입찰과 인력 이탈실제로 필자가 의장으로서 최근 한국정보보호산업협회(KISIA)가 주관한 보안서비스 전문 협의체에서도 이 같은 구조적 괴리에 대한 산업계 원성이 높았다. 현장에서는 제경비나 기술료가 제대로 반영되지 않은 채 경험치 기반 공수 산정에만 의존하다 보니, 기준 대가와 실제 사업 대가 간 괴리가 지속되고 있다. 고객사 요구사항은 해마다 늘어나는데 예산은 전년도 수준으로 동결되거나 타사 견적을 근거로 한 금액 조정 압박이 비일비재하다. 이러한 악순환의 결과는 참담하다. 사업의 영세함으로 인해 보안 컨설팅 분야 우수한 전문 인력들이 이탈하고 있으며, 영세 업체들은 당장 현금 흐름을 위해 연초부터 저가 입찰 경쟁에 뛰어들고 있다. 대한민국 보안 생태계 전체가 하향 평준화 늪으로 빠져들고 있는 것이다. '사람 중심'에서 '과업 중심'으로 대전환이제는 악순환 고리를 끊어야 한다. 투입된 인력의 머릿수가 아니라, 실제 수행하는 업무 성격과 난이도, 결과물을 기준으로 대가를 산정하는 '과업 중심(업무량 방식)' 체계로 대전환이 시급하다.발주 단계인 제안요청서(RFP)부터 인력 투입 요구 조항을 과감히 삭제하고, 기관 규모와 점검 범위, 도메인 난이도를 반영한 구체적인 과업 중심으로 명시해야 한다. 이를 통해 컨설팅 기업이 고도화된 AI 솔루션이나 축적된 자산을 활용해 인력 효율을 극대화하고, 짧은 시간 내에 높은 수준의 결과물을 내더라도 그 가치를 온전히 인정받을 수 있는 환경을 만들어주어야 한다. 동시에 제도적 방패막이도 보완되어야 한다. 소프트웨어 대가 산정 기준 내에 묶여 있는 보안 분야를 독자적으로 분리하여 현실적인 노임 단가와 정찰제 형태의 기준을 법제화하는 노력이 필요하다. 당장 장기적인 법제화가 어렵다면, 협회와 정부 부처(과기정통부)가 힘을 합쳐 '차등 기술 점수제'를 적극 확산시켜 가격 경쟁이 아닌 기술력 경쟁을 유도하고, 비정상적인 대가 산정 사례에 대해 공공기관 감사실이나 계약팀에 강력한 모니터링 공문을 발송하는 등 실효성 있는 조치를 즉각 시행해야 할 것이다. 기술 발전적 생태계가 곧 국가 안보사이버 안보는 단순한 서비스 용역이 아니라 국가적 생태계를 지키는 핵심 인프라다. 낡은 Man-Month 관행을 고집하는 것은 AI 시대에 '삽질 부대의 인원수'로 전투력을 측정하겠다는 시대착오적 발상과 다름없다.발주 기관은 예산 절감이라는 단기적 성과에서 벗어나 기술 혁신을 유도하는 스마트한 소비자가 되어야 하며, 공급업계 역시 적정 가격을 유지하려는 공동 노력이 필요하다. 과업 중심 생태계가 정착될 때 비로소 대한민국 보안 산업은 기술 고도화와 인력 효율성이라는 두 마리 토끼를 잡고 글로벌 경쟁력을 확보할 수 있을 것이다.조영철 KISIA 정보보호컨설팅 협의체 의장(파이오링크 대표)<외부 필진의 기고는 본사의 편집방향과 다를 수 있습니다.>